Informationssicherheit

Die Schule muss ihre Informationen mit angemessenen organisatorischen und technischen Sicherheitsmassnahmen schützen. Die umzusetzenden Massnahmen richten sich nach der Art der Informationen, nach Art und Zweck der Bearbeitung und nach dem jeweiligen Stand der Technik. Je sensitiver die Informationen, desto umfassender sind die Massnahmen, die zu treffen sind. Sie richten sich nach den Schutzzielen nach § 7 IDG:

  • Vertraulichkeit
    Es muss verhindert werden, dass Unberechtigte Kenntnis von den Informationen erlangen.
    Mögliche Massnahmen: Zugriffskonzept und Beschränkung der Zugriffe auf die für die Ausübung der Funktion notwendigen Daten, Verschlüsselung der Daten, Virenschutz, Firewall, Verwendung sicherer Passwörter
  • Integrität
    Informationen müssen richtig und vollständig sein.
    Mögliche Massnahme: Protokollierung der Änderungen
  • Verfügbarkeit
    Informationen müssen bei Bedarf vorhanden sein.
    Mögliche Massnahmen: Sicherung der Daten (Back-up), redundante Architektur der Systeme
  • Zurechenbarkeit
    Jede Bearbeitung von Informationen muss einer Person zugerechnet werden können.
    Mögliche Massnahme: Protokollierung der Zugriffe, persönliche Benutzerkonten
  • Nachvollziehbarkeit
    Veränderungen von Informationen müssen erkennbar und nachvollziehbar sein.
    Mögliche Massnahme: Protokollierung der Änderungen und der Zugriffe

Umfassende Vorlagen und Leitfäden für die notwendigen organisatorischen und technischen Massnahmen finden Sie unter Informationssicherheit für Volksschulen.

Im Massnahmenkatalog finden die verantwortlichen IT-Leiterinnen und -Leiter die für die Schule angemessenen Massnahmen. Die Datenschutzbeauftragte berät Sie gerne bei Fragen zu diesen Massnahmen.

Siehe auf Youtube Max schützt sich.
Siehe auf Youtube Die dümmsten Passwörter.
Siehe auf Youtube Wie werde ich nicht gehackt?

E-Mails
Allgemeine Hinweise, Einladungen usw. dürfen per E-Mail versandt werden. Enthalten die Nachrichten sensitive Informationen, dürfen diese nur verschlüsselt oder anonymisiert über ungesicherte Netze wie das Internet versandt werden. Es dürfen keine Rückschlüsse auf die betroffenen Schülerinnen oder Schüler möglich sein, selbst wenn die Namen abgekürzt sind.

Siehe E-Mail-Sicherheit auf der Website der Datenschutzbeauftragten

Private Geräte / Bring Your Own Device
Werden private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen geschützt werden. Unbeaufsichtigte, vergessene oder unsichere Geräte bergen Risiken.
Minimummassnahmen sind:

  • Passwort- oder PIN-Schutz
  • Installation eines Virenschutzes
  • aktuelle Firewall
  • regelmässige Updates
  • Verschlüsselung sensibler Daten bei der Speicherung und Übermittlung

Siehe Leitfaden Einsatz von mobilen Geräten in der Verwaltung

Papierdossiers
Auch physische Dossiers müssen geschützt werden, wobei die Vertraulichkeit eine grosse Rolle spielt. Die Massnahmen müssen gewährleisten, dass nur berechtigte Personen Zugang zu den Inhalten haben. Beispielsweise sind Personal- und Schülerdossiers oder Prüfungsergebnisse in abschliessbaren Schränken aufzubewahren. Schulärztliche Akten müssen in geschlossenen Couverts abgelegt werden.

Private E-Mail-Accounts von Lehrpersonen, Schulleitung, Schulpflege
Wenn Lehrpersonen, Mitglieder der Schulleitung oder der Schulpflege Informationen von ihrer schulischen E-Mail-Adresse an ihre private E-Mail-Adresse weiterleiten, muss die Schule angemessene organisatorische und technische Massnahmen zum Schutz dieser Daten umsetzen.
E-Mails mit vertraulichem Inhalt müssen verschlüsselt werden, da der Datentransfer ausserhalb des Schulnetzes nicht sicher ist.

VPN-Zugang zu besonderen Personendaten
Für den Zugriff auf besondere Personendaten per VPN, beispielsweise auf schulpsychologische Berichte, sind neben den üblichen Sicherheitsmassnahmen die folgenden Massnahmen erforderlich:

  • starke Authentifizierung analog Online-Banking-Lösungen (beispielsweise mittels SMS-Code und Passwort, Chipkarte mit PIN usw.)
  • Transport über das Internet nur mit einer sicheren Verschlüsselung
  • Protokollierung und regelmässige Überprüfung der externen Zugriffe

Informationssicherheit

Die Schule muss ihre Informationen mit angemessenen organisatorischen und technischen Sicherheitsmassnahmen schützen. Die umzusetzenden Massnahmen richten sich nach der Art der Informationen, nach Art und Zweck der Bearbeitung und nach dem jeweiligen Stand der Technik. Je sensitiver die Informationen, desto umfassender sind die Massnahmen, die zu treffen sind. Sie richten sich nach den Schutzzielen nach § 7 IDG:

  • Vertraulichkeit
    Es muss verhindert werden, dass Unberechtigte Kenntnis von den Informationen erlangen.
    Mögliche Massnahmen: Zugriffskonzept und Beschränkung der Zugriffe auf die für die Ausübung der Funktion notwendigen Daten, Verschlüsselung der Daten, Virenschutz, Firewall, Verwendung sicherer Passwörter
  • Integrität
    Informationen müssen richtig und vollständig sein.
    Mögliche Massnahme: Protokollierung der Änderungen
  • Verfügbarkeit
    Informationen müssen bei Bedarf vorhanden sein.
    Mögliche Massnahmen: Sicherung der Daten (Back-up), redundante Architektur der Systeme
  • Zurechenbarkeit
    Jede Bearbeitung von Informationen muss einer Person zugerechnet werden können.
    Mögliche Massnahme: Protokollierung der Zugriffe, persönliche Benutzerkonten
  • Nachvollziehbarkeit
    Veränderungen von Informationen müssen erkennbar und nachvollziehbar sein.
    Mögliche Massnahme: Protokollierung der Änderungen und der Zugriffe

Umfassende Vorlagen und Leitfäden für die notwendigen organisatorischen und technischen Massnahmen finden Sie unter Informationssicherheit für Volksschulen.

Im Massnahmenkatalog finden die verantwortlichen IT-Leiterinnen und -Leiter die für die Schule angemessenen Massnahmen. Die Datenschutzbeauftragte berät Sie gerne bei Fragen zu diesen Massnahmen.

Siehe auf Youtube Max schützt sich.
Siehe auf Youtube Die dümmsten Passwörter.
Siehe auf Youtube Wie werde ich nicht gehackt?

E-Mails
Allgemeine Hinweise, Einladungen usw. dürfen per E-Mail versandt werden. Enthalten die Nachrichten sensitive Informationen, dürfen diese nur verschlüsselt oder anonymisiert über ungesicherte Netze wie das Internet versandt werden. Es dürfen keine Rückschlüsse auf die betroffenen Schülerinnen oder Schüler möglich sein, selbst wenn die Namen abgekürzt sind.

Siehe E-Mail-Sicherheit auf der Website der Datenschutzbeauftragten

Private Geräte / Bring Your Own Device
Werden private Geräte (Smartphones, Notebooks, Tablets) zur Erfüllung der schulischen Aufgaben eingesetzt, müssen die Informationen mit den geeigneten organisatorischen und technischen Massnahmen geschützt werden. Unbeaufsichtigte, vergessene oder unsichere Geräte bergen Risiken.
Minimummassnahmen sind:

  • Passwort- oder PIN-Schutz
  • Installation eines Virenschutzes
  • aktuelle Firewall
  • regelmässige Updates
  • Verschlüsselung sensibler Daten bei der Speicherung und Übermittlung

Siehe Leitfaden Einsatz von mobilen Geräten in der Verwaltung

Papierdossiers
Auch physische Dossiers müssen geschützt werden, wobei die Vertraulichkeit eine grosse Rolle spielt. Die Massnahmen müssen gewährleisten, dass nur berechtigte Personen Zugang zu den Inhalten haben. Beispielsweise sind Personal- und Schülerdossiers oder Prüfungsergebnisse in abschliessbaren Schränken aufzubewahren. Schulärztliche Akten müssen in geschlossenen Couverts abgelegt werden.

Private E-Mail-Accounts von Lehrpersonen, Schulleitung, Schulpflege
Wenn Lehrpersonen, Mitglieder der Schulleitung oder der Schulpflege Informationen von ihrer schulischen E-Mail-Adresse an ihre private E-Mail-Adresse weiterleiten, muss die Schule angemessene organisatorische und technische Massnahmen zum Schutz dieser Daten umsetzen.
E-Mails mit vertraulichem Inhalt müssen verschlüsselt werden, da der Datentransfer ausserhalb des Schulnetzes nicht sicher ist.

VPN-Zugang zu besonderen Personendaten
Für den Zugriff auf besondere Personendaten per VPN, beispielsweise auf schulpsychologische Berichte, sind neben den üblichen Sicherheitsmassnahmen die folgenden Massnahmen erforderlich:

  • starke Authentifizierung analog Online-Banking-Lösungen (beispielsweise mittels SMS-Code und Passwort, Chipkarte mit PIN usw.)
  • Transport über das Internet nur mit einer sicheren Verschlüsselung
  • Protokollierung und regelmässige Überprüfung der externen Zugriffe